🧨 macOS 개발자 노린다! Cursor AI IDE로 위장한 악성 NPM 패키지 주의보

최근 macOS 개발자 커뮤니티에서 조용히 퍼지고 있는 위협이 발견되었습니다.
바로 인기 있는 AI 코드 에디터인 Cursor를 사칭한 악성 NPM 패키지입니다.
이들은 단순히 IDE에 플러그인처럼 설치되는 것이 아니라,
개발자의 macOS 시스템을 장악하고 민감한 정보까지 탈취하는 정교한 공격을 감행합니다. 😨

---

🎯 타깃은 Cursor AI IDE 사용자

Cursor는 GPT 기반의 자동 완성 및 코드 생성 기능을 통합한 차세대 AI IDE로,
많은 개발자들이 사용하고 있는 유료 소프트웨어입니다.
문제는, "프리미엄 기능을 공짜 또는 더 싸게 쓰게 해주겠다"는 미끼로 등장한 NPM 패키지 세 개가 매우 위험하다는 것!

해당 패키지 이름은 다음과 같습니다:

• sw-cur
• sw-cur1
• aiide-cur

이들은 모두 Cursor 프리미엄 요금 회피를 유혹하는 설명과 함께 게시되었으며,
NPM 사용자 gtr2018, aiide에 의해 등록되었습니다.
현재까지 이 악성 패키지들은 총 3,200회 이상 다운로드되었다고 하니,
이미 많은 개발자들이 피해를 입었을 가능성이 있습니다. 😱

---

🧬 감염 경로와 동작 방식

패키지를 설치하고 실행하는 순간, 다음과 같은 악성 행위가 수행됩니다:

1. macOS 시스템에서 사용자 크리덴셜 수집
2. 원격 서버에서 악성 페이로드 다운로드 및 복호화
3. Cursor 애플리케이션 내부 파일(main.js 등) 덮어쓰기
4. 자동 업데이트 기능 비활성화
5. 악성 코드가 주입된 상태로 Cursor 재시작
6. 이후 IDE 내 모든 작업, 소스코드, 로그인 정보 등 원격 통제 가능

즉, Cursor는 더 이상 개발자의 도구가 아닌, 공격자의 도구로 탈바꿈하게 됩니다. 🐍

---

🏢 기업 개발 환경에서는 더 큰 위험

단순한 개인 개발자뿐 아니라, 이 공격은 기업 환경에서 훨씬 더 심각한 영향을 줄 수 있습니다:

• 💼 사내 소스코드 유출
• 🏗️ CI/CD 파이프라인 감염
• 🔄 서드파티 의존성에 악성 코드 주입
• 🪪 프라이빗 API 키, 클라우드 인증 정보 탈취

이러한 형태의 IDE 감염은 공급망 공격의 출발점이 될 수 있으며,
최근의 CircleCI, SolarWinds 등과 같은 사례처럼 기업 전체로 퍼질 수 있습니다.

---

🛡️ 대응 방안

Socket에서는 다음과 같은 대응 조치를 강력히 권고하고 있습니다:

1. 🧼 Cursor 앱을 공식 웹사이트에서 재설치 (완전 삭제 후 클린 설치)
2. 🔐 모든 인증 정보 즉시 회전 (GitHub, AWS, API 키 등)
3. 🧾 최근 작성한 소스코드 검토 및 이상 여부 점검
4. 🛑 의심스러운 NPM 패키지 사용 자제
5. 🚨 CI/CD 환경의 이상 동작 탐지 및 감사 로그 확인

특히 macOS에서는 /Applications/Cursor.app/Contents/Resources/app.asar.unpacked/ 아래 경로에서 main.js 파일이 변경되었는지를 확인하는 것도 좋은 점검 방법입니다.

---

🚨 여전히 NPM에 살아있는 악성 패키지

현재까지도 해당 악성 패키지들은 NPM에서 제거되지 않은 상태이며, Socket 측은 이를 공식적으로 삭제 요청한 상태입니다.
그러나 그 사이에도 새로운 이름으로 계속 업로드될 수 있다는 점에서, 보안 인식이 무엇보다 중요합니다.

---

💡 마무리

이번 공격은 단순한 백도어 설치를 넘어 개발자 툴 자체를 해킹 도구로 변조하는 매우 교묘한 수법입니다.
공급망 보안의 본질이 “믿고 쓰는 개발 도구의 신뢰성”에 있다는 사실을 다시 한 번 상기시켜줍니다.

특히 프리미엄 기능을 무료로 쓸 수 있다는 유혹에 휘둘려 의심스러운 패키지를 설치하지 말고, 검증된 경로만 사용해 주세요. 🔐